Ubuntu Weekly Topics

2013年8月2日号 OSC Kyoto・Ubuntu Edge Tシャツ・Ubuntu Forumの復旧・Utiltieのリリースジモデル・Ubuntu Magazine Japan vol.10のPDF・USN#327

この記事を読むのに必要な時間:およそ 4 分

OSC 2013 Kansai/Kyoto

Ubuntu Japanese Teamは,8月2日(金)・3日(土)に京都リサーチパークで開催される,オープンソースカンファレンス2013 Kansai@Kyotoに参加します。8月3日(土)には「Ubuntu Touchひみつ大図解」と称したセミナーも行う予定です。皆様の参加をお待ちしています。

図1 今回のブース(本日撮影)

図1 今回のブース(本日撮影)

オープンソースカンファレンス2013 Kansai@Kyoto 概要

日程2013年8月2日(金) 11:00-17:00(セミナー・展示ともに17:00まで)
8月3日(土) 10:00-17:30(展示は16:00まで)
会場京都リサーチパーク(KRP) OSC総合受付:アトリウム
費用無料
内容オープンソースに関する最新情報の提供・展示 - オープンソースコミュニティ,企業・団体による展示・セミナー - オープンソースの最新情報を提供
主催オープンソースカンファレンス実行委員会
協力京都リサーチパーク株式会社(KRP-WEEK)
企画運営株式会社びぎねっと

Ubuntu Edge Tシャツ

Ubuntu EdgeのPerk(一種の景品)更新され$50で「ロゴ入りTシャツ+Founderとしての権利(Ubuntu Edgeページに名前が載る)⁠というコースが選択できるようになっています。気になる本体は,2013年8月1日時点では$775のコースが300個ほど残っているという状態で,堅調に推移している状態です。目標まで20%強を達成しています。あと20日ほどで目標金額に到達できるかどうかはやや微妙なところではありますが,前代未聞の規模のクラウドファンディングとして今後が注目されます。

なお,⁠Ubuntu Edge本体が手に入るコースにcontributeしたけど,$30の国際送料を忘れていた!」という人のための専用Perk,⁠FORGOT INTERNATIONAL SHIPPING」というコースも新設されています。これまでは「No Perkで$30を追加してね」というものでしたが,あまりにも多くの人が忘れていたようです(少なくとも900名ほど……)⁠

Ubuntu Forumの復帰

Ubuntu Forumがクラックとその後の原因調査のためのメンテナンスから復帰しました。既存のユーザーのパスワードは,管理者によって強制的に新しいものに置き換えられています。流出したパスワードはハッシュされていたため,辞書に掲載されているような単語に基づいたものでなければただちに危険と言えるものではありませんが,もしも同じパスワードを他のサイトに使いまわしているようであれば変更が必要です。

なお,Canonicalのセキュリティチームによる報告によれば,この攻撃は次のようなものだったとされています。

  • 2013年7月14日に,モデレーター権限の付与されたアカウントが何らかの方法で乗っ取られた。このモデレーター権限のついたアカウントは,⁠生のHTML」をアナウンスページに投稿できるものだった。
  • アタッカーはこの機能を利用して,XSSベースのCookie奪取のためのHTMLをアナウンスページに投稿し,さらに投稿したメッセージに複数の管理者権限を持ったユーザーを誘導した。
  • 管理者権限を持ったユーザーが問題のページを開くことで,攻撃者が管理者権限を得た。
  • 管理者のみが利用できるコマンドフック機能(任意のPHPコードを埋め込める機能)を用いて,特定のページにアクセスするとPHPベースのシェルコードが投下されるように設定した。
  • シェルコードを使ってwww-dataアカウントを奪取した攻撃者は,入手した権限(掲示板の管理者権限とwww-dataのシェルアカウント)を用いて,掲示板のuserテーブルを奪取し,さらにWebページに乗っ取りを行った旨のメッセージを残した。

Utiltieのその後

新手の$99の小型ARMマシン」⁠Utiliteのモデル構成と価格が発表されています。モデル構成は次の3パターンです。

Utilite Value:$99
  • CPU: i.MX6 1コア
  • Memory: 512MB
  • Storage: microSD 4GB
  • Display: 1(HDMI)
  • NIC: 1GbE x 1
  • Wireless: 非搭載
  • 備考: mSATAは非サポート
Utilite Standard:$159
  • CPU: i.MX6 2コア
  • Memory:2048MB
  • Storage: microSD 8GB
  • Display: 2(HDMI+DVI)
  • NIC: 1GbE x 2
  • Wireless: 802.11bgn + Bluetooth 3.0
Utilite Pro:$219
  • CPU: i.MX6 4コア
  • Memory: 2048MB
  • Storage: 32GB SSD(mSATA)
  • Display: 2(HDMI+DVI)
  • NIC: 1GbE x 2
  • Wireless: 802.11bgn + Bluetooth 3.0

なお,mSATA接続のSSDはシングルモデルを除きコネクタ形式ではあること,メモリは基板直付であることが示されています注1)⁠

実際の購入価格には,これらの金額に税金と送料がかかることに注意してください。Compulab社のTrim Sliceの時の経験では,送料は2台で約$70でした。

注1
フォーラムの発言では「1コアモデルはそもそもSoCがSATAをサポートしていない」としか言っていないので,2コアモデルにmSATAがあるかどうかは確定ではありません。ブロックダイアグラムを見る限り,Proモデルには明示的に存在するSATAポートStandardモデルには存在しないことと,mSATAポートは「is not user accessible」と言っているので,SATA接続のストレージが欲しい場合はProを購入する必要がありそうです。

Ubuntu Magazine Vol.10のPDF

日本唯一のUbuntu専門誌,Ubuntu Magazineは,次号発売日以降に前号の記事をCC-by-SA-NCで公開する,という一種のフリーミアムモデルを採用した雑誌でもあります。

最新号にあたる2013 Summer号が発売されたため,vol.10の記事がPDFで公開されています。特に,⁠CentOSユーザーへのUbuntu招待状』は多くの人の役に立つでしょう。

UWN#327

Ubuntu Weekly Newsletter #327がリリースされています。

今週のセキュリティアップデート

usn-1908-1:OpenJDK 6のセキュリティアップデート
usn-1909-1:MySQLのセキュリティアップデート
usn-1910-1:Bindのセキュリティアップデート
  • Ubuntu 13.04?12.10?12.04 LTS?10.04 LTS用のアップデータがリリースされています。CVE-2013-4854を修正します。
  • Bindを外部からクラッシュさせることが可能な問題がありました。コンテンツサーバー・キャッシュサーバーいずれの場合にも攻撃が有効です。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-1911-1:Little CMSのセキュリティアップデート
  • Ubuntu 13.04?12.10?12.04 LTS用のアップデータがリリースされています。CVE-2013-4160を修正します。
  • LittleCMSにリンクしたアプリケーションをクラッシュさせられる問題が見つかりました。
  • 対処方法:アップデータを適用の上,Little CMSにリンクしているアプリケーションを再起動してください。
usn-1912-1:Linux kernelのセキュリティアップデート
  • Ubuntu 10.04 LTS用のアップデータがリリースされています。CVE-2013-2164, CVE-2013-2232, CVE-2013-2234, CVE-2013-2237, CVE-2013-2851を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるので,通常はそのままアップデートの適用を行えば対応できます。
usn-1913-1:Linux kernel (EC2)のセキュリティアップデート
  • EC2環境のUbuntu 10.04 LTS用のアップデータがリリースされています。CVE-2013-2164, CVE-2013-2232, CVE-2013-2234, CVE-2013-2237, CVE-2013-2851を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるので,通常はそのままアップデートの適用を行えば対応できます。
usn-1914-1:Linux kernelのセキュリティアップデート
  • Ubuntu 12.04 LTS用のアップデータがリリースされています。CVE-2013-2852を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるので,通常はそのままアップデートの適用を行えば対応できます。
usn-1915-1:Linux kernel (Quantal HWE)のセキュリティアップデート
  • Ubuntu 12.04 LTS用の3.5カーネルのアップデータがリリースされています。CVE-2013-2852を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるので,通常はそのままアップデートの適用を行えば対応できます。
usn-1916-1:Linux kernel (Raring HWE)のセキュリティアップデート
  • Ubuntu 12.04 LTS用の3.8カーネルのアップデータがリリースされています。CVE-2013-2852を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるので,通常はそのままアップデートの適用を行えば対応できます。
usn-1917-1:Linux kernelのセキュリティアップデート
  • Ubuntu 12.10用のアップデータがリリースされています。CVE-2013-2852を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるので,通常はそのままアップデートの適用を行えば対応できます。
usn-1918-1:Linux kernel (OMAP4)のセキュリティアップデート
  • OMAP4向けのUbuntu 12.10用のアップデータがリリースされています。CVE-2013-2852を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるので,通常はそのままアップデートの適用を行えば対応できます。
usn-1919-1:Linux kernelのセキュリティアップデート
  • Ubuntu 13.04用のアップデータがリリースされています。CVE-2013-2852を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるので,通常はそのままアップデートの適用を行えば対応できます。
usn-1920-1:Linux kernel (OMAP4)のセキュリティアップデート
  • Ubuntu 13.04用のアップデータがリリースされています。CVE-2013-2852を修正します。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
  • 備考:ABIの変更を伴いますので,カーネルモジュールを自分でコンパイルしている場合は再コンパイルが必要です。カーネルモジュール関連のパッケージ(標準ではlinux-restricted-modules, linux-backport-modules, linux-ubuntu-modulesなど)は依存性により自動的にアップデートされるので,通常はそのままアップデートの適用を行えば対応できます。

著者プロフィール

吉田史(よしだふみひと)

Ubuntu Japanese Team Member株式会社創夢所属。システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

コメント

コメントの記入